7 de noviembre de 2025

🧩 El malware ahora vive dentro de una máquina virtual: la nueva táctica de Curly COMrades

🧩 El malware ahora vive dentro de una máquina virtual: la nueva táctica de Curly COMrades

¿Y si el virus no estuviera en tu sistema operativo… sino en otro corriendo dentro de él?

Un grupo de hackers vinculado a Rusia, conocido como Curly COMrades, está usando una técnica que lleva la evasión a otro nivel: instalar su propio sistema operativo virtual dentro del tuyo.
Sí, literalmente. En lugar de ejecutar malware directamente en Windows, lo hacen desde una máquina virtual (VM) creada dentro del sistema infectado, usando Hyper-V, la tecnología de virtualización nativa de Microsoft.

De acuerdo con un informe de Bitdefender, el grupo activa de forma silenciosa el rol de Hyper-V y despliega una mini VM basada en Alpine Linux, tan liviana que apenas ocupa 120 MB de disco y 256 MB de RAM. Dentro de ese entorno, corren su arsenal sin ser detectados.

Así funciona el ataque 🧠

Una vez que la máquina virtual está activa, los atacantes ejecutan dos implantes principales:

  • 🪞CurlyShell: un reverse shell daemon que se mantiene conectado a un servidor remoto, recibiendo comandos cifrados.

  • 🕳️CurlCat: un proxy inverso que encapsula tráfico SSH dentro de solicitudes HTTPS, disfrazando la comunicación maliciosa como tráfico web normal.

Lo más ingenioso es que todo el tráfico parece provenir del host legítimo, ya que la VM usa el "Default Switch" del adaptador de red de Windows.
En otras palabras, los firewalls y sistemas EDR ven la conexión como “normal” y no levantan alertas.

Persistencia nivel pro 🔐

El grupo no se conforma con la evasión. También automatiza la persistencia usando scripts de PowerShell para:

  • Inyectar tickets Kerberos en LSASS (acceso a sesiones autenticadas).

  • Crear cuentas locales mediante Group Policy Objects (GPO).

  • Habilitar la propagación lateral hacia otros equipos del dominio.

Todo esto mientras el malware “real” sigue corriendo dentro de su VM oculta.
Así logran mantenerse dentro de la red sin que las soluciones tradicionales de endpoint lo detecten.

Cómo detectar y mitigar este tipo de ataques 🧯

Para equipos de TI y seguridad, esta técnica cambia las reglas del juego. Ya no basta con monitorear procesos o archivos sospechosos:
ahora hay que mirar lo que ocurre a nivel de virtualización.

🔍 Medidas prácticas que puedes aplicar hoy:

  1. Audita el uso de Hyper-V: revisa si hay activaciones inesperadas del rol o creación de nuevas VMs.

  2. Monitorea comandos de administración de virtualización, como New-VM, Enable-WindowsOptionalFeature, o Set-VMNetworkAdapter.

  3. Inspecciona el tráfico saliente de hosts que ejecuten VMs: conexiones HTTPS persistentes o a destinos desconocidos pueden ser señal de túneles cifrados.

  4. Restringe permisos para habilitar funciones de virtualización en equipos que no lo requieran.

  5. Combina monitoreo a nivel host y red para correlacionar eventos y detectar anomalías.

En resumen

El caso de Curly COMrades demuestra una tendencia clara: los atacantes están migrando su malware a entornos virtualizados para esconderse a plena vista.
Esta técnica hace que muchas defensas tradicionales —basadas solo en el sistema operativo host— se queden ciegas ante lo que ocurre dentro de la VM.

🔐 La nueva frontera de la ciberseguridad no está fuera del sistema, sino dentro de él.

Fuente: https://www.bleepingcomputer.com/news/security/russian-hackers-abuse-hyper-v-to-hide-malware-in-linux-vms/
← Anterior 🚨 Ataques activos contra firewalls de Ci...
Escrito por:
Luis Carreón
📰 Otras noticias del día
🧠 Cuidado con lo que descargas: falsos instaladores de ESET están dejando puertas traseras en equipos de TI
🚨 Ataques activos contra firewalls de Cisco: dos fallas críticas que ya están siendo explotadas
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio